Splunk - Suchoptimierung

Splunk enthält bereits die Optimierungsfunktionen, analysiert und verarbeitet Ihre Suchanfragen für maximale Effizienz. Diese Effizienz wird hauptsächlich durch die folgenden zwei Optimierungsziele erreicht:

  • Early Filtering- Diese Optimierungen filtern die Ergebnisse sehr früh, damit die zu verarbeitende Datenmenge während des Suchvorgangs so früh wie möglich reduziert wird. Dieser frühe Filter vermeidet unnötige Such- und Bewertungsberechnungen für Ereignisse, die nicht Teil der endgültigen Suchergebnisse sind.

  • Parallel Processing - Durch die integrierten Optimierungen kann die Suchverarbeitung neu angeordnet werden, sodass so viele Befehle wie möglich parallel auf den Indexern ausgeführt werden, bevor die Suchergebnisse zur endgültigen Verarbeitung an den Suchkopf gesendet werden.

Suchoptimierungen analysieren

Splunk hat uns Tools zur Analyse der Funktionsweise der Suchoptimierung zur Verfügung gestellt. Diese Tools helfen uns herauszufinden, wie die Filterbedingungen verwendet werden und wie diese Optimierungsschritte ablaufen. Es gibt uns auch die Kosten für die verschiedenen Schritte, die mit den Suchvorgängen verbunden sind.

Beispiel

Betrachten Sie eine Suchoperation, um die Ereignisse zu finden, die die Wörter enthalten: fehlgeschlagen, fehlgeschlagen oder Kennwort. Wenn wir diese Suchabfrage in das Suchfeld einfügen, bestimmen die integrierten Optimierer automatisch den Pfad der Suche. Wir können überprüfen, wie lange die Suche gedauert hat, um eine bestimmte Anzahl von Suchergebnissen zurückzugeben, und bei Bedarf jeden einzelnen Schritt der Optimierung sowie die damit verbundenen Kosten überprüfen.

Wir folgen dem Weg von Search → Job → Inspect Job um diese Details wie unten gezeigt zu erhalten -

Der nächste Bildschirm enthält Details zur Optimierung, die für die obige Abfrage durchgeführt wurde. Hier müssen wir die Anzahl der Ereignisse und die Zeit notieren, die benötigt wird, um das Ergebnis zurückzugeben.

Optimierung deaktivieren

Wir können auch die integrierte Optimierung deaktivieren und den Unterschied in der Zeit feststellen, die für das Suchergebnis benötigt wird. Das Ergebnis ist möglicherweise besser oder nicht besser als die integrierte Suche. Falls es besser ist, können wir immer diese Option wählen, um die Optimierung nur für diese bestimmte Suche zu deaktivieren.

In der folgenden Abbildung verwenden wir den Befehl Keine Optimierung, dargestellt als noop in der Suchabfrage.

Der nächste Bildschirm zeigt das Ergebnis, dass keine Optimierung verwendet wurde. Bei dieser Abfrage werden die Ergebnisse schneller, ohne dass integrierte Optimierungen verwendet werden.

ja/tutorial
es/tutorial
de/tutorial
fr/tutorial
th/tutorial
pt/tutorial
ru/tutorial
vi/tutorial
it/tutorial
ko/tutorial
tr/tutorial
id/tutorial
pl/tutorial
hi/tutorial
japost
espost
depost
frpost
thpost
ptpost
rupost
vipost
itpost
kopost
trpost
idpost
plpost
hipost

© Copyright 2021 - 2024 | All Rights Reserved